Как обезопасить ваши системы и данные? Более 80% утечек данных вызваны катастрофой с паролями. Огромная часть обеспечения безопасности важной бизнес-информации и конфиденциальных файлов – это создание хороших, надежных паролей и их усиление с помощью мощных средств безопасности для защиты от хакеров. Но когда многие люди думают о повышении безопасности паролей, они думают о добавлении символов в свои пароли, таких как заглавные буквы или цифры, может быть, даже знаки препинания.
В наши дни этого просто недостаточно. В исследовании 2020 года 42% респондентов заявили, что их организация была взломана из-за неправильного, украденного или взломанного пароля. В условиях рекордного уровня риска киберпреступлений каждая организация должна делать больше для защиты своих точек доступа.
Мы рассмотрим 3 правила, которые надо соблюдать, и 3 правила, которые не надо делать, чтобы защитить свой пароль и сохранить ваши данные внутри, а злоумышленников – снаружи.
НЕ НАДО: Записывать и хранить пароль небезопасно
Обратите внимание на то, как сотрудники хранят свои пароли. Конечно, большинство людей знают, что писать пароль на стикере и помещать его на монитор (или клавиатуру) – не лучшая идея. Но это не единственные плохие способы хранения паролей. Напомните сотрудникам, что также не следует хранить свои пароли в электронных документах. Просто откажитесь от хранения паролей в электронной почте, сообщениях Teams, электронных таблицах, документах Word, карточках Trello и любом другом текстовом документе, чтобы обеспечить их безопасность. В идеале пароли должны храниться в защищенном формате, например, в безопасном общем хранилище паролей.
НЕОБХОДИМО: Создайте корпоративную политику в отношении паролей
Сделайте так, чтобы злоумышленникам было сложнее взломать ваши системы или взломать пароль, практикуя надлежащую гигиену паролей. Существует отличное бесплатное руководство от Национального института стандартов и технологий (NIST), в котором подробно описаны передовые методы работы с паролями, и оно считается принятым отраслевым стандартом для создания паролей. Используйте его, чтобы создать свою собственную политику паролей. Убедитесь, что политика применима ко всем и строго соблюдается – пароли менеджеров, администраторов и руководителей с высокими привилегиями особенно ценятся киберпреступниками.
НЕ НАДО: Использовать формулу или повторять пароль
Говорит ли ваш LinkedIn о том, насколько вы преданы команде Maryland Terrapins? Ваш Facebook полон мемов о малыше Йоде? Вы постоянно ретвитите Critical Role? Замечательно – просто не используйте ничего из этого для создания пароля. Создавать пароли на основе легко доступной информации о вас опасно, но, основываясь на анализе данных, которые мы собрали в 2020 году с помощью Dark Web ID, 59% сотрудников используют имя человека или день рождения семьи в своих паролях, 33% включают имя питомца и 22% используют собственное имя. Кроме того, 49% пользователей меняют только одну букву или цифру в одном из предпочтительных паролей, когда требуется создать новый пароль. Не облегчайте задачу плохим парням.
ОБЯЗАТЕЛЬНО: Используйте уникальный пароль каждый раз
Создав надежный пароль, вы не можете просто использовать его повторно. В среднем пользователь повторно использует пароль примерно 14 раз, и 39% людей признают, что они используют свои любимые пароли как взаимозаменяемые как в своих рабочих, так и в домашних приложениях. В недавнем исследовании исследователи также обнаружили около 543 миллионов учетных данных сотрудников компаний из списка Fortune 1000, которые распространяются на часто используемых подпольных хакерских форумах, что на 29% больше, чем в 2020 году. Каждое приложение и устройство должны иметь надежный уникальный пароль. Это не тот пароль, который вы обычно используете с цифрой в нем. Не последовательность цифр. Каждый раз придумывайте новый пароль, который соответствует вашим рекомендациям.
НЕ НАДО: Обмениваться паролями
Да, может быть неприятно найти человека, у которого есть доступ к чему-либо, особенно с людьми, работающими удаленно. Постоянно добавлять и удалять доступ пользователей к приложениям – это определенно большая проблема. Конечно, это упрощает внесение этого изменения, если у вас есть под рукой пароль администратора. Но это путь к гибели. Никогда не сообщайте свой пароль другому сотруднику и не сообщайте его по электронной почте, в сообщениях или по телефону. Избавьтесь от проблем, связанных с изменением доступа и разрешений, и предоставьте каждому свою уникальную панель запуска, адаптированную к их уровню доступа, с помощью решения для входа в систему, которое предлагает единый вход (SSO).
ОБЯЗАТЕЛЬНО: Используйте многофакторную аутентификацию
Даже если все ваши пользователи следуют разумной политике паролей, соблюдают правила гигиены паролей и каждый раз создают надежные уникальные пароли, это не обеспечит безопасность ваших систем и данных. Пароли можно фишинговать, украсть, продать, взломать… список бесконечен. Но один-единственный инструмент может защитить ваш бизнес от 99,9% киберпреступлений на основе паролей: многофакторная аутентификация (MFA). Эксперты во всех областях техники согласны с тем, что MFA является обязательным атрибутом, включая Microsoft, Google и Агентство по кибербезопасности и безопасности инфраструктуры США (CISA). Это требование актуально во множестве отраслей, включая здравоохранение, оборону, правоохранительные органы и финансы, или если вы участвуете в торгах по федеральным или государственным контрактам.